国内几乎所有网站都可以用验证码找回密码,那么 [两步验证-Google 身份验证器] 是否没必要使用了?
find456789 · 2020-08-05 00:32:53 +08:00 · 3524 次点击这是一个创建于 1572 天前的主题,其中的信息可能已经有所发展或是发生改变。
虽然 生成的 6 位数字,可以离线使用, 但是现在几乎任何时候都可以接收验证码
那么 还有必要 开通 [两步验证 中的 Google 身份验证器] 吗?
 |
1
iseki 2020-08-05 00:39:54 +08:00 via Android  4
我倒觉得 2fa 才是正确方案,短信需要你信任运营商,邮件需要信任邮件提供商,唯有 TOTP,你自己的设备还不信吗
|
 |
2
laike9m 2020-08-05 00:41:24 +08:00 via Android
啥意思,目的根本不一样啊,怎么对比
|
 |
3
cydian 2020-08-05 00:46:21 +08:00 via Android
然而还有凭借短信验证码可以取消二步验证的呢
|
 |
4
BrettD 2020-08-05 00:49:14 +08:00 via iPhone
SIM 卡可能被人伪冒机主补卡,也可能被 2G 降级攻击+嗅探
|
 |
5
TypeError 2020-08-05 00:52:27 +08:00 via Android
短信问题太多
换卡攻击 SS7 伪基站 |
 |
6
XsterreX 2020-08-05 03:11:18 +08:00 via iPad
我一直的想法是,实名制催生短信注册验证登录,一站式解决所有问题
国外大多用二步验证,更像是国外的类短信解决方案 说不是孰优孰劣,各自环境不同吧 短信直接登录,确实是问题,感觉正解是密码登录加短信验证 |
 |
7
Laforet 2020-08-05 05:49:48 +08:00 via Android
邮件至少可以用 tls+gpg 签名,而短信从来都不是可靠的传输协议,没法比。至少已经被报道的那些社工实例里还没有 totp 的 2fa 被攻破的例子。
|
 |
8
iConnect 2020-08-05 08:03:35 +08:00 via Android 1
国内强制实名制需要绑定手机号,使用短信验证是水到渠成,对用户最少干扰的选项。2fa 从技术逻辑上肯定是更安全的,但是实际使用中,会出现手机丢失等意外情况,然后就彻底懵逼啦。
我就有因为刷机把验证器毁了,后果不堪设想。总之,在国内手机被盗,可以拿身份证补卡,没有办法补手机。所以还得多处备份 2fa,其实并没有更安全。 |
 |
10
ifxo 2020-08-05 09:00:49 +08:00
黑你的号不一定要改密码,可以和你共用啊,你也发现不了
|
 |
12
anyclue 2020-08-05 10:19:00 +08:00
@iseki 也不一定吧,验证码是 Google 自家的 App 根据密钥产生的,Google 是一家商业公司,存在将密钥传回服务器后台偷偷生成验证码的可能,就是类似你说的验证码需要信任提供商。这个方案是没有问题,但是这个 App 后期好像也不开源了,有没有后台的肆意操作毕竟就不知道了
|
 |
13
zy8848 2020-08-05 10:31:59 +08:00
有些网站的登陆真的是直接登陆
有些网站的登陆是经过风险计算后的登陆 “Google 身份验证器” 在理论上的确更安全 但是使用 n 项不很安全的验证因子跑出来的结果未必就不安全 登陆方式的便捷正是说明新技术的进步 |
 |
14
Xusually 2020-08-05 11:12:08 +08:00
@iseki 自己设备 TOTP 这个没问题。
但是 2fa 并不是就是 TOTP 啊,2fa 只是两步验证而已,第二个因素有时候是短信、有时候是 iCloud 一样的其他设备验证码推送、有时候是另一个邮件,有可能是 OTP 的某一种。 |
Select Language